Malware

David Allendes – Nicolás Apablaza – Nicolás Gálvez

Noviembre 2018.

Universidad Tecnológica de Chile

Ingeniería en Ciberseguridad
Jorge Allende – Comunicación efectiva
 2

Resumen

Para poder a llevar a cabo la investigación de lo que es un malware, tipos existentes,

clasificación, principales vías de infección, como detectarlos y su preventiva que medidas a

tomar para no infectar algún equipo electrónico, para esto se necesitó revisar números páginas de

antivirus reconocidas mundialmente (Kaspersky, Avast, ESET).

Se demuestra por pruebas con un malware en específico, se utiliza como referencia el Keylogger

(Tipo de spyware) a través de vía hardware (Componente físico) y Software (Programa) con el

fin de mostrar su peligrosidad sino se toman medidas respectivas ante un Keylogger o un

malware en general.

Abstract
To be able to carry out the investigation of what is a malware, existing types, classification, main

infection routes, how to detect them and preventive measures to take not to infect any electronic

equipment, for this it was necessary to review numbers of antivirus pages recognized worldwide

(Kaspersky, Avast, ESET).

It is demonstrated by tests with a specific malware, the Keylogger (Type of spyware) is used as a

reference through hardware (Physical Component) and Software (Program) to show its

dangerousness if no respective measures are taken before a Keylogger or a malware in general.

 3

Índice

Introducción 4
Objetivo general 5
Objetivos específicos 5
1. ¿Qué es un Malware? 6
1.1 Definición 6
1.2 Origen 6
2. Clasificación 6
2.1. Tipos de malware 6
2.2. Más comunes 10
2.3. Más peligrosos 10
3. Principales Vías de Infección 11
4. ¿Cómo detectar un Malware? 11
5. ¿Cómo protegerse de Malware? 12
6. Spyware-keylogger PC 12
6.1. Keylogger por software: 13
6.2. Keylogger por hardware 14
7. Pruebas 16
7.1. Prueba por vía Software: 16
7.2. Prueba por vía Hardware 17
8. ¿Cómo saber si mi pc contiene un keylogger y qué debo hacer? 18
Conclusión 20
Glosario 21
Bibliografía/ Web grafía 23
 4

Introducción

Las vulnerabilidades, riesgos y amenazas, están presentes en cada situación de la vida. Estos

factores aumentan aún más si se trata de alguien o algo que contiene Información.

Desde la creación de los sistemas informáticos e internet, existe también el riesgo de ser atacado

por códigos maliciosos o software creados por Cibercriminales hechos para obtener algún

beneficio, perjudicar a los usuarios o simplemente por diversión, poniendo en riesgo la seguridad

de su información, ya sea la confidencialidad, la integridad, la disponibilidad, o bien, estas tres al

mismo tiempo.

Para lograr sus objetivos, los Cibercriminales van desarrollando día a día nuevas formas y

método que van aumentando proporcionalmente su complejidad y, a la vez, facilitando la vía de

infección para los usuarios, ya sea por medio de algún correo electrónico, a través de publicidad,

aplicaciones, sitios web u otras vías utilizadas comúnmente por los usuarios.

Se puede deducir que en pleno siglo XXI los riesgos de adquirir un malware por navegar en

internet o descargar archivos de este, ya que existen una gran variedad de estos, que atacan de

distinta manera, aunque siempre con un mismo objetivo, habiendo desde los más simples e

inofensivos, como spam o exceso de publicidad, hasta los más complejos, inevitables y casi

irreparables, como los Ransomware (secuestradores) o los Spyware (programas espía).

 5

Objetivo general

Comprender que es un malware para catalogar los diferentes tipos existentes según sus

características y objetivos específicos a través de resúmenes que posteriormente permitirán

identificar cuáles son los malware más comunes que afectan al usuario promedio, los más

peligrosos y dañinos para el usuario, su información y, muchas veces, para el equipo (hardware)

que ha sido atacado, también nos permitirá identificar cuáles son las principales vías de infección

de un equipo y los síntomas más comunes que se pueden detectar en este.

Objetivos específicos

1. Comprender que es un malware y sus clasificaciones.

2. Entender que es un Spyware.

3. Conocer el Spyware “Keylogger”, sus características (software y hardware) y su objetivo.

4. Entender su funcionamiento a través de pruebas y ejemplos.

5. Demostrar su uso y funcionamiento a través de imágenes.

6. Analizar los resultados y el impacto que puede tener sobre un usuario u organización
 6

1. ¿Qué es un Malware?

1.1 Definición

Malware es la abreviatura de “Malicious software”, término que engloba a todo tipo de programa

o código informático malicioso cuya intención es dañar un sistema o causar un mal

funcionamiento. Los hackers utilizan el malware con múltiples finalidades, tales como extraer

información personal o contraseñas, robar dinero o evitar que los propietarios accedan a su

dispositivo, entre otros daños.

1.2 Origen

Inicialmente solo se identificaba un tipo de malware. Se lo llamó virus informático debido a las

semejanzas que estos programas presentan con los virus biológicos. Nacieron como

experimentos matemáticos en laboratorios al buscarse alternativas para técnicas de vida artificial.

Al principio solo podían infectar archivos del sistema operativo DOS y mantenían una baja tasa

de reproducción, sobre todo debido a los métodos que utilizaban.

Con software y sistemas operativos más avanzados, los virus también evolucionaron hasta llegar

a formas más complejas de malware actuales, lo que hace extensa su clasificación.

2. Clasificación

2.1. Tipos de malware

● Virus clásicos: Los Virus Informáticos son sencillamente programas maliciosos

(malwares) que “infectan” a otros archivos del sistema con la intención de modificarlo o

dañarlo.
 7

● Backdoors: Estos programas son diseñados para abrir una “puerta trasera” en nuestro

sistema de modo que permite al creador de esta aplicación tener acceso al sistema y hacer

lo que desee con él.

● Botnet: Es una red de equipos infectados por códigos maliciosos, que son controlados

por un atacante, disponiendo de sus recursos para que trabajen de forma conjunta y

distribuida, quedando en un estado “zombi” o “robot”.

● Caballos de Troya o Troyanos: Este tipo de programas maliciosos incluye una gran

variedad de programas que efectúan acciones sin que el usuario se dé cuenta y sin su

consentimiento: recolectan datos y los envían a los criminales; destruyen o alteran datos

con malas intenciones, causando desperfectos en el funcionamiento de una máquina o

usan los recursos de la máquina para fines criminales, como hacer envíos masivos de

correo no solicitado.

● Gusanos: Los gusanos son en realidad un subconjunto de malware. Su principal

diferencia con los virus radica en que no necesitan de un archivo anfitrión para seguir

vivos. También este malware usa los recursos de red para distribuirse. Su nombre implica

que pueden penetrar de un equipo a otro como un gusano.

● Phishing: Es una variedad de programas espías que se propaga a través de correo.

Buscan recibir los datos confidenciales del usuario, de carácter bancario preferente. Los

emails phishing están diseñadas para parecer igual a la correspondencia legal enviada por

organizaciones oficiales. Tales emails contienen un enlace que redirecciona al usuario a

una página falsa que va a solicitar algunos datos confidenciales, como el número de la

tarjeta de crédito, entre otros.

 8

● PUP: Potentially Unwanted Programs (Programa potencialmente no deseado) que se

instala sin el consentimiento del usuario y realiza acciones o tiene características que

pueden menoscabar el control del usuario sobre su privacidad, confidencialidad, uso de

recursos del ordenador, etc.

● Rogue: Es básicamente un programa falso que dice ser o hacer algo que no es. Con la

proliferación del spyware estos comenzaron a surgir como un importante negocio para los

ciberdelincuentes en formato de “Falso Antispyware”. Con el tiempo fueron

evolucionando creando desde “Falsos Optimizadores” de Windows, y en los más

extendidos “Falsos Antivirus”. Al ejecutarlos ‘siempre’ nos va a mostrar alguna falsa

infección o falso problema en el sistema que si se quiere arreglar, se va a tener que

comprar su versión de pago, la cual obviamente en realidad no va a reparar ni desinfectar

nada, pero va a engañar mostrando que el computador esta desinfectado.

● Riskware. No son programas maliciosos, pero contienen una amenaza potencial. En

ciertas situaciones ponen sus datos a peligro. Incluyen programas de administración

remota, marcadores, etc.

● Rootkits. Es una colección de programas usados por un hacker para evitar ser detectado

mientras busca obtener acceso no autorizado a un ordenador. Esto se logra de dos formas:

reemplazando archivos o bibliotecas del sistema o instalando un módulo de kernel. El

hacker instala el rootkit obteniendo un acceso similar al del usuario: por lo general,

crackeando una contraseña o explotando una vulnerabilidad, lo que permite usar otras

credenciales hasta conseguir el acceso de administrador.

● Spam. Los mensajes no solicitados de remitente desconocido enviados en cantidades

masivas de carácter publicitario, político, de propaganda, solicitando ayuda, etc. El Spam

 9

genera una carga adicional a los servidores de correo y puede causar pérdidas de la

información deseada.

● Spyware: Software que permite recolectar la información sobre un usuario/organización

sin su conocimiento ni consentimiento. Su presencia puede ser completamente invisible

para el usuario. El objetivo más común es distribuirlo a empresas publicitarias u otras

organizaciones interesadas. Pueden colectar los datos sobre las acciones del usuario, el

contenido del disco duro, software instalado, calidad y velocidad de la conexión, etc.

Tipos de Spyware

○ Hijacker: Los hijackers son los encargados de secuestrar las funciones de nuestro

navegador web (browser) modificando la página de inicio y búsqueda por alguna

de su red de afiliados maliciosos, entre otros ajustes que bloquea para impedir

sean vueltos a restaurar por parte del usuario. Generalmente suelen ser parte de

los Adwares y Troyanos.

○ Keylogger: Aplicaciones encargadas de almacenar en un archivo todo lo que el

usuario ingrese por el teclado (Grabador de Teclado). Son ingresados por

muchos troyanos para robar contraseñas e información de los equipos en los que

están instalados.

○ Adware: Es un software que despliega publicidad de distintos productos o

servicios. Estas aplicaciones incluyen código adicional que muestra la publicidad

en ventanas emergentes, o a través de una barra que aparece en la pantalla

simulando ofrecer distintos servicios útiles para el usuario.

● Ransomware o Secuestrador: Es un código malicioso que cifra la información del

ordenador e ingresa en él una serie de instrucciones para que el usuario pueda recuperar
 10

sus archivos. La víctima, para obtener la contraseña que libera la información, debe pagar

al atacante una suma de dinero, según las instrucciones que éste disponga.

● Otros programas maliciosos. Son una serie de programas que no afectan directamente a

los ordenadores, pero que se usan para crear virus, troyanos o para realizar actividades

ilegales como ataques DDoS y penetrar en otros ordenadores, etc.

2.2. Más comunes

1. Virus clásico.

2. Adware.

3. Pup.

4. Rogue.

5. Spam.

2.3. Más peligrosos

1. Ransomware.

2. Phishing.

3. Botnet.

4. Spyware.

5. Troyano.
 11

3. Principales Vías de Infección

❏ Redes Sociales.

❏ Sitios webs fraudulentos.

❏ Programas “gratuitos”.

❏ Dispositivos USB/CDs/DVDs infectados.

❏ Sitios webs legítimos previamente infectados.

❏ Adjuntos en Correos no deseado (Spam).

4. ¿Cómo detectar un Malware?

Aunque existen muchos “síntomas” que pueden indicar que un pc está infectado con algún tipo

de Malware, los puntos más comunes son:

➢ Observa las ventanas emergentes (indicando que tu sistema está infectado y que debes

descargar cierta aplicación para eliminar el virus.)

➢ Verificar la velocidad de procesamiento y ejecución (más lento, tareas no autorizadas en

segundo plano).

➢ Congelamiento del pc (aplicaciones o programas dejan de funcionar).

➢ Funcionamiento del pc (teclado/mouse no responden)

➢ Verificar programa de Antivirus y Firewall (se encuentra deshabilitado).

➢ Ventanas emergentes de error (frecuentes e inusuales).

➢ Correos electrónicos de dudosa procedencia o sospechosos.

 12

➢ Navegador (la página de inicio cambia automáticamente a la página web del

secuestrador).

5. ¿Cómo protegerse de Malware?

La prevención de malware en un dispositivo es fundamental para mantener la seguridad de los

datos o información.

Aunque es difícil detectar y prevenir a tiempo todos los malware existentes, algunos filtros

básicos para esto son:

➢ Antivirus confiable y actualizado.

➢ Firewall (cortafuegos) activo.

➢ Activar Anti-Spam en correo electrónico.

➢ Mantener OS, programas y aplicaciones actualizadas.

➢ Mantener el navegador y sus plugins actualizados (Win, Java, Flash, etc.).

➢ Siempre efectuar descargas a través de sitios oficiales.

➢ No ejecutar un software procedente de Internet o de medios extraíbles como CD o

memorias USB desconocidos.

6. Spyware-keylogger PC

Para entender este Spyware se debe saber que se encarga de realizar un seguimiento y registro de

cada tecla que un usuario pulsa en un computador, esto quiere decir, contraseñas de correo

electrónico, tarjetas de crédito, números de cuentas corriente y mucha más información

confidencial que está siendo robada, esto sucede la mayoría de las veces, sin el permiso ni

consentimiento del usuario.

 13

Como el Keylogger es un malware los antivirus lo detectan inmediatamente y proceden a

eliminar el elemento, por esto, la mayoría de las veces se deshabilita el antivirus para poder

instalarlo y el usuario debe configurarlo acorde sus necesidades.

Existen dos tipos de Keyloggers:

6.1. Keylogger por software:

Este Keylogger se descarga (desde páginas de confianza) y puede ser instalado tanto en el propio

computador como ser enviado a otros equipos (a través de correos o links de descarga directa,

entre otros.) Este se ejecuta en modo oculto, esto quiere decir, se vuelve totalmente invisible para

el usuario, aunque éste busque en el disco duro si existe algo instalado relacionado con

keylogger, no lo podrá ver. La información recolectada puede ser enviada al correo electrónico

personal o a un servidor FTP.

Los servicios dependen de los recursos de la persona, en un software gratis los servicios van a ser

limitados comparado con uno profesional (comprado) que viene con todas sus características.

Ejemplos de Keylogger por Software:

- Revealer Keylogger: En su versión gratuita, solo viene con la función de registrar cada

tecla que un usuario oprima, mientras que las funciones que se deben comprar son las

entregas de la información a correo electrónico y las capturas de pantalla, por los

intervalos de tiempo que uno desea.

- Ardamax Keylogger: Es un grabador que captura la actividad del usuario y la guarda

en un archivo de log criptografiado se puede utilizar como un dispositivo de vigilancia y

detectar accesos no autorizados. Los registros también se pueden enviar automáticamente

 14

a su correo electrónico y el acceso a los keylogger está protegido con contraseña.

almacena la información sobre las direcciones de Internet que el usuario ha visitado.

También está diseñado para grabar y supervisar ambos lados de una conversación de

chat.

6.2. Keylogger por hardware

Tal como dice su nombre, este keylogger va contenido en un hardware extraíble (PS/2, USB,

external HDD, entre otros), que al conectarlo a un equipo comienza a ejecutarse (de forma

manual o automática) extrayendo la información y almacenarla en el mismo dispositivo extraíble

que se esté utilizando.

Ejemplos de Keylogger por Hardware:

- KeyGrabber USB: Este keylogger graba las pulsaciones del teclado como el antiguo

Keylogger PS/2, se diferencian que este es mucho más avanzado, tiene una capacidad de

memoria hasta 8GB, su memoria está protegida por encriptación 128-bits, no requiere

ningún tipo de software ni controladores para su uso.

Imagen 1- KeyGrabber USB

- AirDrive Keylogger: Este keylogger funciona como un punto de acceso Wi-Fi y como

un dispositivo Wi-Fi, habilitando características tales como informes de correo

 15

electrónico, sellado de tiempo, transmisión de datos y por último recuperar datos de

forma remota sin tocar el dispositivo. Se puede conectar desde cualquier computador,

Smartphone y Tablet, la memoria de este keylogger está protegida por cifrado de

hardware.

- USB Rubber Ducky: este dispositivo es un teclado programado con forma de USB que

nada más conectarse comienza a escribir en el equipo de forma automatizada, para lanzar

programas y herramientas que bien pueden estar en el equipo víctima o cargados en la

memoria Micro SD que lleva incluida. En cuestión de segundos tendría acceso a

información que se podría subir automáticamente a un servidor FTP u otro sitio.

 16

7. Pruebas

7.1. Prueba por vía Software:

Imagen 2- Revealer Keylogger (versión gratuita).

En esta imagen (2) se puede apreciar la interfaz de Revealer Keylogger, donde se muestra en la

mitad izquierda, la cuenta de usuario a la que pertenece la información y en la mitad derecha

muestra todas las pulsaciones del teclado hechas por el usuario.

Dentro de la información podemos ver que el usuario usa el navegador Firefox, ingresa a Gmail

para ingresar la dirección de su correo electrónico y su contraseña, se le suma que ingresa a la

página YouTube donde claramente se puede apreciar el intérprete y el nombre de la canción,

luego hace un ingreso a la página de Facebook en donde también podemos ver su dirección a la

cual está asociada su cuenta y su contraseña y por último se puede notar que envía un correo
 17

electrónico a una persona (donde se muestra explícitamente la dirección de correo electrónico) y

el mensaje.

Este software es solo compatible con los sistemas operativos Windows 10, 8.1, 8, 7, Vista y por

último XP SP3, cabe recalcar que solo se usó la versión gratuita que solo viene con dos opciones

de uso, las cuales son, protección con contraseña al ingresar a la interfaz de Revealer Keylogger

y grabador de pulsaciones del teclado (permite guardado en versión HTML). La función Pro se le

añade tres funciones más, captura de pantalla (uno escoge las resolución y calidad que uno

desea), modo invisibilidad en donde el software no se puede ver por el administrador de tareas y

en el equipo y por último la monitorización remota, esto significa que se envían los archivos

mediante correo electrónico, Dropbox, ftp o red local.

7.2. Prueba por vía Hardware

(Imagen 3- Keylogger USB casero)

 18

La imagen muestra un dispositivo USB (que contiene un programa de Keylogger) conectado a un

equipo para extraer ciertos datos. En Verde se puede apreciar las claves de todas las redes Wi-Fi

registradas en el equipo, donde el primer cuadro muestra el nombre de la red, mientras que el

segundo muestra las contraseñas. El color azul pertenece a “Web Browser Pass View”, este

muestra todos los usuarios y contraseñas que se han guardado en los navegadores del equipo. Por

último, en color marrón se representan las “CLAVES DE PRODUCTO” que pertenecen a las

licencias de software de Windows y Microsoft.

Estas son solo 4 de las 15 funciones que posee este Keylogger tipo USB, dentro de las que se

encuentran también un visor de archivos del pc, lector de e-mail, registro de puertos usb, entre

otros.

Estos programas son compatibles con todos los Sistemas Operativos, y para ejecutarlos y obtener

toda la información del usuario es necesaria una mínima cantidad de tiempo (minutos) de acceso

al equipo que se desea atacar, lo que se convierte en un gran riesgo si se descuida por un momento

el pc, ya sea por personas que el usuario conoce o por externos.

8. ¿Cómo saber si mi pc contiene un keylogger y qué debo hacer?

De la misma forma que la mayoría de los Malware, el equipo infectado por un Keylogger

puede o no presentar algunos síntomas estándar (revisar punto 4).

1. Solución de seguridad: La manera más fácil de identificarlo es instalar un anti-

spyware o directamente anti-keylogger y realizar un escaneo completo del equipo (pc y/o

unidad extraíble).

★ Programas recomendados: SpyShelter, Zemana Antilogger.

 19

2. Administrador de tareas: Revisar los procesos que están en ejecución dentro del sistema.

Aunque también es posible que allí no se identifique porque el proceso malicioso podría

estar inyectado en otros procesos, entonces hay otras herramientas gratuitas como

SysInspector o Sysinternals de Windows que no sólo detallan los procesos sino también

los hilos de cada proceso para ver si, por ejemplo, se identifica algún movimiento raro

como una conexión a un servidor en otro país.

3. Monitorea las Conexiones de Red con tu Firewall: A medida que el keylogger registra

pulsaciones, este las recopila y envía registros a una ubicación remota

4. Inspecciona las ranuras de expansión: Teclado y puertos USB de tu computadora.

Keyloggers de hardware se encuentran generalmente entre la conexión del teclado de la

computadora y el propio equipo real, que actúa como un adaptador que registra la

información de las entradas del teclado cuando está en uso. Estos son fáciles de detectar y

deben ser visibles de inmediato cuando te fijas en el puerto del teclado.

5. Desmonta el teclado: El otro tipo de keylogger de hardware es colocado directamente en

el interior de tu teclado. Aunque están hechos para parecerse a los dispositivos que

pertenecen al hardware, así que sin experiencia puedes pasarlos por alto.

6. Reemplaza tu teclado: Con un nuevo teclado de exactamente el mismo tipo que el

teclado antiguo. Puedes usar este nuevo teclado como control y comparar la tecnología

interior con la de tu nuevo teclado. Si ves cualquier hardware en el teclado antiguo que

no está en el que acabas de comprar, revísalo buscando el número de modelo y el tipo de

hardware, o lleva tu teclado a un especialista para identificar el hardware.

 20

Conclusión

Con lo mencionado anteriormente, los malwares que pueden causar más daño (monetario e

información) a una persona común y una organización, son el ransomware, phising, botnet,

spyware, troyano, porque cada uno tiene método diferente para atacar, pero todos tienen un

mismo objetivo, robar información sin consentimiento del usuario que puede ser por beneficio

propio o solo por diversión.

A través de las pruebas por vía hardware y software, se comprobó que el Keylogger es un

malware extremadamente peligroso, porque este guarda todas las pulsaciones del teclado, es

decir, guarda correos electrónicos, paginas ingresadas, contraseñas, token, e inclusive si el

usuario está conversando por alguna red social en el computador, esta solo guarda lo que el

usuario envía y no lo que recibe.

Por lo tanto se deben tomar las medidas de seguridad anteriormente mencionadas para no

infectarse y no ver comprometida su información personal, esto puede ser potencialmente para la

integridad de la persona porque el atacante sin problemas los datos personales para conseguir

dinero o venganza.
 21

Glosario

Crack: Parche que modifica una aplicación para activar su licenciamiento de manera

gratuita y eliminar las restricciones de su uso, no respetando lo indicado en su licencia de

uso.

Firewall o Cortafuegos: es una parte de un sistema o una red que está diseñada para

bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones

autorizadas.

Servidor FTP: protocolo de red para la transferencia de archivos entre sistemas

interconectados o enlazados a Internet, basado en la arquitectura cliente-servidor.

Sistemas Operativos: programa, o conjunto de ellos, que gestiona los recursos físicos de

un sistema informático quiere decir, memoria, capacidad de procesamiento, espacio en

disco duro, acceso a la red, etc. Provee servicios a los programas de aplicación para que

éstos funcionen correctamente.

Plugin Es aquella aplicación que, en un programa informático, añade una funcionalidad

adicional o una nueva característica al software.

PS/2: Es un puerto que se utilizaba en las computadoras antiguas para conectar

dispositivos de entrada como teclado y ratón.

Acrónimos

Adware: acrónimo de las palabras Advertisement y Software.

Botnet: acrónimo de las palabras Robot y Network.

HTML: acrónimo de las palabras HyperText Markup Language, en español sería

Lenguaje de marcas de hipertexto.

 22

IoT: acrónimo de las palabras Internet of Things, en español sería Internet de objetos

físicos o Internet de las cosas.

Malware: acrónimo de las palabras Malicious Software, en español seria software

malicioso.

PUP: acrónimo del término en inglés "Potentially Unwanted Programs", si se traduce

al español significa Programas Potencialmente No Deseados.

 23

Bibliografía/ Web grafía

Clasificación de malwares

https://www.pandasecurity.com/spain/mediacenter/malware/los-tipos-de-malware-mas-

peligrosos/

Definición de cada malware.

https://support.kaspersky.com/mx/614

Definición, detección, pasos a seguir para evitarlos y cómo eliminar ciertos malwares.

https://www.avast.com/es-es/c-malware

Tipo de Keyloggers

https://www.easemon.com/es/whats-the-differences-between-hardware-keylogger-and-

keylogger-software.html

Diferencias de Keyloggers

https://es.refog.com/comparison-of-hardware-and-software-keyloggers.html

Keylogger

https://latam.kaspersky.com/resource-center/definitions/keylogger

Keylogger de hardware

http://www.keelog.com/

Pasos para reconocer Keylogger de Hardware

https://techlandia.com/detectar-hay-keylogger-como_541481/
24
25